js逆向爬虫某openLaw网站

最新推荐文章于 2024-04-26 17:15:20 发布
最新推荐文章于 2024-04-26 17:15:20 发布
阅读量734 收藏 1
点赞数
分类专栏: Python 文章标签: python 正则表达式 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45351802/article/details/103938559
版权

1.解析思路:

      按照常规步骤进行抓包:输入错误的账号密码,找到post/get请求地址—>看请求表单数据是否加密—>全局搜索加密关键字—>找到与之相关联的js加密函数,扣出js代码

这里我们可以看到,有四个参数,其中_csrf是未知的,password是经过加密的,其余两个字段是很简单的。

2. _csrf关键字

我们先全局搜索一下,可以找到_csrf其实就在网页中,是在网页中生成的,所以我们就需要抓取“login.jsp?$=deny”这个数据包,这里是get请求

import re,requests

# 先请求一次网页,获取页面中的csrf
def get_csrf():
    try:
        csrfUrl = "http://openlaw.cn/login.jsp?$=deny"
        session = requests.session()
        response = session.get(csrfUrl, headers=headers, timeout=5)
        if (response.status_code == 200):
            # 编译正则表达式,带上re.S
            pattern = re.compile('name="_csrf" value="(.*?)"/>', re.S)
            # findall是将返回结果以元组型列表
            result = re.findall(pattern, response.text)
            return result

    except Exception as e:
        print(e)

拓展:我第一次写的时候就出现了如下的错误提示,其实是re.S在使用compile编译时没有编译到,以后要注意这点

在爬取网页数据时,

p=re.compile('<div class="card-title">(.*?)</div>')
data=re.findall(p,html.text,re.S)

出现错误:
ValueError: Cannot process flags argument with a compiled pattern
原因:如果re.findall() 中有flags项,如re.S(正则中‘.’代表在每行中的任意字符,每一行遇到换行符‘\n’结束,re.S作用是将‘\n’当成是普通字符,这样就把整个html文档看成了一个字符串。
正确写法:

p=re.compile('<div class="card-title">(.*?)</div>',re.S)
data=re.findall(p,html.text)

3.password加密

依旧全局搜索这个关键字,找到password这个关键字,发现这个generateEncryptPassword(生成加密密码)很可疑,最终输出加密密码的函数其实是keyEncrypt函数(完整js加密代码,参考我的GitHub)

var $publicKey = '-----BEGIN PUBLIC KEY-----\n\
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0zI8aibR9ZN57QObFxvI\n\
wiRTmELItVVBLMrLd71ZqakR6oWUKkcAGgmxad2TCy3UeRe4A0Dduw97oXlbl5rK\n\
RGISzpLO8iMSYtsim5aXZX9SB5x3S9ees4CZ6MYD/4XQOTrU0r1TMT6wXlhVvwNb\n\
fMNYHm3vkY0rhfxBCVPFJoHjAGDFWNCAhf4KfalfvWsGL32p8N/exG2S4yXVHuV6\n\
cHDyFJAItKVmyuTmB62pnPs5KvNv6oPmtmhMxxsvBOyh7uLwB5TonxtZpWZ3A1wf\n\
43ByuU7F3qGnFqL0GeG/JuK+ZR40LARyevHy9OZ5pMa0Nwqb8PwfK810Bc8PxD8N\n\
EwIDAQAB\n\
-----END PUBLIC KEY-----\n\
';
var encryptPassChars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmnopqrstuvwxyz*&-%/!?*+=()";
var rsaEncrypt = new JSEncrypt();
rsaEncrypt.setPublicKey($publicKey);
var keyEncrypt = function(data) {
    var passPhrase = generateEncryptPassword(32);

    var iv = CryptoJS.lib.WordArray.random(128 / 8).toString(CryptoJS.enc.Hex);
    var salt = CryptoJS.lib.WordArray.random(128 / 8).toString(CryptoJS.enc.Hex);
    var key = CryptoJS.PBKDF2(passPhrase, CryptoJS.enc.Hex.parse(salt), {
        keySize: 128 / 32,
        iterations: 1000
    });

    var aesEncrypted = CryptoJS.AES.encrypt(data, key, {
        iv: CryptoJS.enc.Hex.parse(iv)
    });
    var aesKey = passPhrase + ":::" + salt + ":::" + aesEncrypted.iv;
    var encryptedMessage = aesEncrypted.ciphertext.toString(CryptoJS.enc.Base64);
    var encryptedKey = rsaEncrypt.encrypt(aesKey);

    var encrypted = encryptedKey + ":::" + encryptedMessage;
    return encrypted;
};

var generateEncryptPassword = function(length) {
    var randomstring = '';
    for (var i = 0; i < length; i++) {
        var rnum = Math.floor(Math.random() * encryptPassChars.length);
        randomstring += encryptPassChars.substring(rnum, rnum + 1);
    }
    return randomstring;
};

4.完整代码

import re
import requests
import execjs

# 请求登录url
url = "http://openlaw.cn/login"
# 构造请求头
headers = {
    "Origin": "http://openlaw.cn",
    "Referer": "http://openlaw.cn/login.jsp",
    "Upgrade-Insecure-Requests": "1",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36"
}


# 先请求一次网页,获取页面中的csrf
def get_csrf():
    try:
        csrfUrl = "http://openlaw.cn/login.jsp?$=deny"
        session = requests.session()
        response = session.get(csrfUrl, headers=headers, timeout=5)
        if (response.status_code == 200):
            pattern = re.compile('name="_csrf" value="(.*?)"/>', re.S)
            result = re.findall(pattern, response.text)
            return result

    except Exception as e:
        print(e)


def get_pwd():
    with open('main.js', 'r', encoding='utf-8') as f:
        js_code = f.read()
    # 编译js函数
    ctx = execjs.compile(js_code)
    # 执行js中的getPassword函数,参数为password
    result = ctx.call('getPassword', 'a123456')
    return result


# 第二次post请求模拟登录openLaw网站
def login():
    data = {
        "_csrf": (get_csrf())[0],
        "username": "badwoman",
        "password": get_pwd(),
        "_spring_security_remember_me": "true"
    }
    try:
        # 模拟登录openLaw
        response = requests.post(url=url, headers=headers, data=data, timeout=5)
        if (response.status_code == 200):
            return response.text
        return None
    except Exception as e:
        print(e)


if __name__ == '__main__':
    login()
AhriLove
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JS逆向——AES加密案例(openlaw登录)
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
12-09 853
本文是该专栏的第27篇,后面会持续分享python爬虫干货知识,记得关注。在爬虫项目中,或多或少都会遇到请求参数被加密,像这样的例子有很多,所以js加密对于爬虫攻城狮来说,也是一块比较难啃的领域。而本文要介绍的例子是AES加密的一种,了解AES的同学都清楚,AES全称:高级加密标准(Advanced Encryption Standard),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。AES也是对称加密算法,如果能够获取到密钥,那么就能对密文解密。
js逆向常用工具&爬虫工具
06-17
乐易助手
爬虫攻守道 - JS逆向网站合集
biaobro的博客
03-13 1137
​S​​​​​​024-YGP Request Header加密​​​​​​​S028-ChinaIndex Payload md5加密 + 返回体AES加密S023-HRDJ 用户信息自定义加密 + Payload Hash sha256加密S025-ZZZMH 返回体自定义加密 + Base64加密S027-XiniuData Payload加密 + 返回体加密S007_AQI 前端数据混淆,JS代码混淆​​​​​​​
openlaw爬虫超级详细讲解
weixin_44388373的博客
05-20 9486
openlaw爬虫 openlaw网站有严格加密,代码可以运行,但是如果想获取太多数据建议根据官网要求来 1.openlaw内容页超链接加密 打开openlaw网站搜索刑事,打开检查,看见超链接是加密过的 猜测一下,觉得里面的两个参数应该就是加密后的id和索引,索引加密猜测应该是常见的url加密,用python的parse.unquote()解密发现刚好是刑事,那接下来就只剩id了 from urllib import parse a = "%E5%88%91%E4%BA%8B"
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释
2401_84139192的博客
04-26 758
大家好,我是辣条哥!今天给大家上点难度,不然总觉得辣条哥太菜了!我们今天聊聊JS逆向,首先JS逆向是指对使用JavaScript编写的代码进行逆向工程,以获取代码的逻辑、算法或者进行修改。假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。现在我们想要绕过这个验证,直接登录到网站。1.打开网站登录页面,按下F12键打开开发者工具。
js逆向七麦网站
自信人生二百年,会当水击三千里
02-23 1126
大数据时代的到来,人们对于数据的需求越来越大,但对于数据的获取不再像以前那么简单。各大网站都对数据进行了加密处理来保护数据的安全。但是上有政策,下有对策。今天带来逆向的第一个案例。Let's Go!按F12进行常规抓包,发现这是一个url参数加密,只要我们破解了该参数,就可以正常获取数据啦!一般查找加密位置有三种基本方法:关键字搜索Hook方法XHR断点当前前提是网站走的XHR(XMLHttpRequest)请求,今天我们采取XHR断点方式来找加密位置。
某市场监督网站js逆向
wushiguize_的博客
11-28 658
本文纯粹作学习探讨用,不作其他用途。目标网站:某建筑市场监督网站目标:获取5页数据。
Python JS逆向爬虫作业
02-29
爬虫
JS爬虫逆向JS爬虫逆向
最新发布
06-17
JS爬虫逆向JS爬虫逆向
Python爬虫JS逆向进阶课程
06-08
这门课程是Python爬虫JS逆向进阶课程,将教授学员如何使用Python爬虫技术和JS逆向技术获取网站数据。学习者将学习如何分析网站JS代码,破解反爬虫机制,以及如何使用Selenium和PhantomJS等工具进行模拟登录和数据...
爬虫 极简壁纸 逆向分析 js逆向 交流学习
12-14
然而,对于极简壁纸的逆向分析,我们往往知之甚少。 本文旨在探索极简壁纸的逆向分析方法,从技术层面揭示其设计原理。首先,将介绍逆向分析的概念和意义,以及其在软件领域的应用。其次,将分析极简壁纸的文件结构...
逆向JS分析实战某违规网站3--还原混淆1
qq_40081339的博客
06-11 605
2、在上面dplayer.min.js的源码搜索结果中可看到m3u8只出现1次,且m3u8所在的代码行,涉及了其他视频类型(flv、mpegurl),结合js的名称,可以推断包含m3u8的这行js代码的作用是用于播放时使用的。1、使用js来构建视频链接请求,那请求的视频类型必定是指定类型的,且构建的格式应该和最终得到的链接地址的相同,而从上图来看,明显对不上;从图中可以看出这个网站最终用的视频链接是含有关键词 ”m3u8“ 的,那就可以尝试搜索下m3u8,看看是哪里生成的下载地址
js逆向·找到登录时目标网站的加密算法的几种方式
XXokok的博客
10-21 1393
-文件流程断点 -代码全局搜索 -XHR提交断点 jsEncrypter插件 phantomjs
网络爬虫js逆向解决网站登录RSA加密问题+session维护登录状态(cookie-响应头)请求爬取+手动添加cookie(js中)
nobestnobest的博客
12-10 1302
因为session中一直维护的是响应头中的cookie,Js代码中生成的cookie它是需要手动添加的,缺失了这部分cookie可能就会导致访问登录后才能访问的网页时又要求你进行登录(跳转到登录页的请求返回登录页信息)观察分析ajax请求中的大部分参数由e来给定,且在打上断点后运行第一次中断时,观察到e中url的值为/common/getTime,ajax中url的值即为:/apis/common/getTime。可以判断释放断点后发送了登录的请求,因为使用了对应的参数,
JS逆向之webpack打包网站实战
weixin_41586984的博客
04-29 3841
前言 最近学习的进度有点缓慢,前段时间研究了下极验的滑动验证的js,怎么说呢,难度还是可以的,之后会写关于极验的一个流程跟加密破解的过程,在这之前呢,我们先了解下另一个知识点---webpack,会对之后研究极验还是有点帮助的。本文会带着大家从了解到实战解决一个webpack打包的网站,网址aHR0cHM6Ly9zeW5jb25odWIuY29zY29zaGlwcGluZy5jb20v 一、webpack是什么? webpack打包是前端js模块化压缩打包常用的手段,特征明显,比如 !func..
python 某文书网JS逆向 登录加密算法还原
L_W_D_的博客
01-25 3261
python 某文书网登录加密还原 run(手机号,密码)运行 import base64 import requests from urllib.parse import quote from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5 def rsa_jiami(password: str) -> str: rsakey = RSA.importKey(
JS逆向解析---某知名小说网站内容加密
m0_61720747的博客
04-27 4094
该小说网站的全部内容都是经过一个JS的加密,要想爬取这个网站那么将其内容解析是不可避免的,本文将讲解如何对其进行JS逆向解析。网站:shuqi 随便点开一本书,打开浏览器自带的抓包工具:
Python爬虫-JS破解openlaw加密cookie
it_chen的博客
07-27 5189
简单介绍:     最近做研究js混淆加密,以openlaw作为网站进行学习研究。openlaw主页裁判文书栏中有大量案件信息,同时能够为客户提供标准的法律专业知识以及智慧和经验成果。过程中遇到一些反爬措施,记录下来。需要抓取的页面如下: 发现问题:     利用chrome浏览器清除cookie模拟第一次访问,发现存在cookie: 利用Fiddler抓包解析,用户第一次访问会发...
爬取openlaw
weixin_37562612的博客
11-14 4687
from urllib.request import Request, urlopen import requests import html2text from h import  text import time import os from urllist import list,list2 from deal_html_to_txt import  * import shu
pythonjs逆向爬虫
02-20
Pythonjs逆向爬虫是指使用Python语言来解析和执行JavaScript代码,从而实现对使用JavaScript动态生成内容的网页进行爬取的技术。下面是一种常见的Pythonjs逆向爬虫的实现方式: 1. 使用第三方库:可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值